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METODO E DISPOSITIVO DI PROTEZIONE DEL CONTENUTO DI UN 
DOCUMENTO ELETTRONICO 

La presente invenzione riguarda un metodo ed un di- 
5 spositivo di protezione del contenuto di un documento 
elettronico fornito su un canale trasmissivo. 

Come e noto, sin dall 1 antichita si e presentato il 
problema di garantire la riservatezza delle inf ormazioni 
scambiate attraverso mezzi di comunicazione. In genera- 

10 le, tanto piu e alto il valore dell f inf ormazione, tanto 
piu essa e appetibile e di conseguenza tanto maggiore 
deve essere il grado di sicurezza dei mezzi o canali di 
comunicazione. Quando il canale di comunicazione e di 
per se violabile perche facilmente accessibile, la sicu- 

15 rezza della comunicazione deve essere garantita gia a 
monte attraverso la trasf ormazione dell f inf ormazione in 
una forma incomprensibile se non ai corretti destinatari 
dell T inf ormazione . Attualmente, il problema della sicu- 
rezza delle inf ormazioni riguarda non solo le comunica- 

20 zioni attraverso sistemi di telefonia mobile ed Inter- 
net, ma anche la trasmissione di documenti testuali o 
musicali (libri e brani musicali) diffusi per via elet- 
tronica su Web o su supporti quali CD e DVD e per i qua- 
li sorge il problema di difesa del copyright. In parti- 

25 colare, la protezione del copyright assume importanza 
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sempre maggiore, visti i grandi interessi economici con- 
nessi ai media. 

La crittografia si e sempre proposta come la scien- 
za che ha ricercato, nei metodi matematici piu robusti, 
gli algoritmi per tutelare la sicurezza delle comunica- 
zioni, assicurando la trasf ormazione dell T inf ormazione 
in una forma incomprensibile, ovviamente permettendo il 
totale recupero dell ' inf ormazione originale ai soggetti 
autorizzati. Nella valutazione dei sistemi di crittogra- 
fia, bisogna tenere in considerazione lo scopo che essi 
si prefiggono. Innanzitutto, e necessario distinguere i 
tipi di attacco ai quali il sistema crittograf ico deve 
opporre resistenza. I tipi di attacco si dividono prin- 
cipalmente in due categorie: attacchi attivi e attacchi 
passivi. I primi mirano a compromettere l'integrita di 
un messaggio originario con possibility, da parte di un 
ascoltatore indesiderato, di interagire direttamente con 
le parti mittente e destinatario, alio scopo di utiliz- 
zare il canale di comunicazione (erroneamente considera- 
to sicuro dalle parti) per i propri scopi (transazioni, 
stipula di contratti, intimidazione, atti di pirateria e 
terrorism© informatico, ecc). In un attacco passivo, 
I'utente pirata si limita ad ascoltare e decifrare le 
informazioni, ritenute segrete, che transitano in un ca- 
nale in forma crittograf ata . Un sistema di protezione 
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del copyright si inserisce in quest 'ultimo contesto, da- 
to che lo scopo della protezione e quello di rendere im- 
possibile, ad utenti non autorizzati, la produzione di 
copie pirata dei documenti protetti. 
5 Attualmente, e sentita l'esigenza di realizzare si- 

stemi di crittografia particolarmente robusti, tenendo 
conto che la disponibilita di mezzi computazionali sem- 
pre piu potenti e di risorse di calcolo distribuito 
("network computing") ha permesso l'attacco con successo 

10 ai piu potenti algoritmi di crittografia esistenti, fino 
a pochi anni fa ritenuti impossibili da "rompere", quali 
ad esempio il DES (Data Encryption Standard, FIPS 46/77) 
per il quale sono previste piu di 70*10 15 combinazioni di 
chiavi possibili (56 bit) . 

15 I sistemi di crittografia si dividono essenzialmen- 

te in due categorie: sistemi a chiave simmetrica e si- 
stemi a chiave pubblica* 

Un sistema a chiave simmetrica si basa sull'adozio- 
ne, da parte del mittente e destinatario, della stessa 

20 chiave per la cifratura e successivamente il decrittag- 
gio dell T inf ormazione trasmessa. Questo sistema prevede 
quindi che, prima che qualsiasi informazione possa esse- 
re scambiata, mittente e destinatario debbano definire 
e/o scambiarsi la chiave ed in seguito cifrare con tale 

25 chiave tutte le informazioni da scambiare. 
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II vantaggio del sistema a chiave siinmetrica consi- 
ste nel fatto che il documento crittato pud essere de- 
crittato solo da chi e a conoscenza, ed ha la responsa- 
bilita di celare, la chiave* Lo svantaggio consiste nel 
5 fatto che, qualora piu soggetti di un gruppo debbano 
scambiarsi inf ormazioni tra loro e contemporaneamente 
mantenerle segrete al resto del gruppo, il numero di 
chiavi cresce velocemente con il numero di componenti 
del gruppo ♦ Per n soggetti il numero di chiavi e pari a 

10 n(n-l)/2. 

In un sistema a chiave pubblica, un algoritmo mate- 
matico consente l f uso di due chiavi distinte, per crit- 
tografare e, rispettivamente, per decrittare un messag- 
gio* Una prima chiave e quindi destinata alia fase di 

15 crittografia e viene resa pubblica. Chiunque voglia in- 
viare un messaggio, deve quindi semplicemente prelevare 
la chiave pubblica del destinatario da un elenco di 
chiavi pubbliche. II messaggio cosi crittato pud essere 
decrittato solo dal destinatario del messaggio, utiliz- 

20 zando una chiave privata, solo a lui nota. 

Cio consente a piu mittenti di inviare messaggi ci- 
frati ad un unico destinatario (utilizzando la chiave 
pubblica) senza che gli altri possibili utenti possano 
decif rarlo . 

25 II meccanismo alia base del piu famoso algoritmo di 
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crittografia a chiave pubblica, l'RSA (dal nome degli 
inventori Rivest, Shamir e Adleman) , e la f attorizzazio- 
ne di numeri con parecchie cifre decimal!, per il quale 
si rimanda alia letteratura. 
5 II sistema a chiave pubblica ha il vantaggio che 

solo la chiave privata deve essere tenuta segreta, e il 
numero di chiavi necessario per lo scambio di informa- 
zioni all T interno di una rete e abbastanza contenuto al 
crescere del numero di utenti (pari a n(n-l)/2). 

10 Lo svantaggio consiste nel fatto che le chiavi de- 

vono essere necessariamente lunghe, con un numero di bit 
almeno pari a 512* Ne consegue una rilevante lentezza 
computazionale, con conseguente basso throughput rate, 
Inoltre, nessun meccanismo e stato provato come effetti- 

15 vamente sicuro, in quanto non e stata provata l'irresol- 
vibilita della soluzione su cui si basa, la fattorizza- 
zione, anche se questa non e stata mai risolta sin dal- 
1 T antichita. 

Un sistema a chiave pubblica non e utile in un si- 
20 sterna di protezione del contenuto. Infatti, in questo 
caso, in cui e necessario evitare atti di pirateria sui 
prodotti multimediali o singolarmente su testi, regi- 
strazioni sonore o immagini, e necessario garantire 
un'alta velocita di decrittaggio . Inoltre, non sarebbe 
25 sensato fare scegliere all'utente finale, il destinata- 
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rio del prodotto multimediale, la coppia di chiavi pub- 
blica e privata. 

II brevetto statunitense 4,434,322, descrive un si- 
stema di trasmissione di dati codificati utilizzabile su 
un canale di trasmissione che consenta la comunicazione 
tra due utenti. In questo sistema noto, e implementato 
un algoritmo di disordinamento ("scrambling") dei dati 
avente lo scopo di randomizzare 1 f inf ormazione e nel 
quale e essenziale garantire la sincronizzazione degli 
utenti per consentirne la comunicazione. Tale sistema 
non e quindi adatto per 1 T applicazione considerata. 

Scopo dell ' invenzione e quindi mettere a disposi- 
zione un sistema di protezione di informazioni trasmesse 
o memorizzate un supporto elettronico e presentante un 
elevato grado di sicurezza. 

Secondo la presente invenzione viene realizzato un 
metodo ed un dispositivo di protezione del contenuto di 
un documento elettronico, come definiti nella rivendica- 
zione 1 e, rispettivamente, 13. 

Per la comprensione della presente invenzione ne 
viene ora descritta una forma di realizzazione preferi- 
ta, a puro titolo di esempio non limitativo, con riferi- 
mento ai disegni allegati, nei quali: 

- le figure la, lb, lc e Id mostrano differenti 
diagrammi di un segnale casuale; 
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- la figura 2 mostra uno schema a blocchi di un di- 
spositive* di crittografia appartenente al presente si- 
stema di protezione; 

- la figura 3 mostra uno schema a blocchi del di- 
5 spositivo di decrittaggio appartenente al presente si- 

stema di protezione; 

- la figura 4 mostra 1 T architettura dei dispositivi 
di crittografia e decrittaggio delle figure 2 e 3; 

- la figura 5 mostra uno schema a blocchi 
10 dell' ordinatore/disordinatore di figura 4; 

- la figura 6 mostra 1' architettura dell' ordinato- 
re/disordinatore di figura 5; 

- la figura 7 mostra uno schema a blocchi del gene- 
ratore caotico di figura 4/ 

15 - la figura 8 mostra un diagramma di biforcazione 

del generatore di mappa caotica di figura 7; 

- la figura 9 mostra uno schema di flusso delle 
operazioni eseguite dall'unita di controllo di figura 4/ 

- le figure 10a e 10b mostrano la distribuzione di 
20 probability dei simboli prima e dopo la crittografia di 

un testo di prova; 

- le figure 11a e lib mostrano la mappatura dei bit 
di un'immagine originale e della stessa immagine critto- 
grafata; e 

25 - la figura 12 mostra la distribuzione di probabi- 





• 
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lita per le immagini cielle figure 11a e lib. 

La presente invenzione utilizza alcune proprieta 
f ondamentale dei segnali generati da circuiti dinamici 
in evoluzione caotica. Infatti, a chi studia questo par- 
ticolare tipo di circuiti dinamici non lineari e noto 
che un circuito in evoluzione caotica e estremamente 
sensibile alle variazioni imposte, ai parametri che de- 
terminano la dinamica complessa e alle condizioni ini- 
ziali da cui ha inizio tale dinamica. 

In pratica, i segnali generati da due circuiti de- 
finiti da parametri prossimi quanto si voglia o da due 
circuiti identici che evolvano a partire da condizioni 
iniziali di poco dissimili l'una rispetto all ? altra ten- 
dono in brevissimo tempo a divergere, evolvendo in modo 
assolutamente scorrelato nel tempo l T uno rispetto al- 
l'altro (sensivita ai parametri e alle condizioni ini- 
ziali) . 

L'andamento tipico di un segnale caotico assomiglia 
molto ad un segnale casuale il cui valore nell'istante 
t+At risulta imprevedibile nell f istante t quanto piu At 
e grande . Anche dal punto di vista statistico, un pro- 
cesso caotico e, per sua stessa natura, un processo non 
stazionario e, in particolare non periodico; di conse- 
guenza il suo contenuto in frequenza cambia continuamen- 
te la sua distribuzione ("randomness")* L'analisi di un 
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segnale caotico si avvale spesso di modelli di rappre- 
sentazione qualitativi quali, in particolare, i diagram- 
mi di fase o le mappe di Poincare. Le figure la-Id rap- 
presentano tali diagrammi nel caso di un tipico circuito 
5 caotico con tre variabili di stato. In particolare, in 
figura la e rappresentato 1 1 andamento dei segnali corri- 
spondenti alle tre variabili di stato nel tempo. La fi- 
gura lb riporta un esempio di diagramma delle fasi otte- 
nuto rappresentando una qualsiasi delle variabili di 

10 stato x(t) rispetto al valore che la stessa variabile 
assume all'istante (t-x) , con x arbitrario. Nelle figure 
lc e Id sono riportati, infine, gli attrattori in forma 
di stato che si ottengono rappresentando ciascuna varia- 
bile di stato rispetto all'altra (mappe di Poincare). 

15 II presente sistema di protezione utilizza inoltre 

uno schema basato su una fase iniziale di confusione ed 
una fase successiva di diffusione. Come e noto, il prin- 
cipio di confusione viene soddisfatto attraverso l ? uso 
di trasf ormazioni che complicano la dipendenza statisti- 

20 ca del testo cifrato rispetto alia statistica del testo 
originale. II principio di diffusione e' relativo al 
processo di dispersione dell' influenza di un singolo 
elemento del testo originale su tutti gli element! che 
compongono il documento cifrato (implementato tramite 

25 uno stadio disordinatore o "scrambler"). 
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Secondo un aspetto dell T invenzione (figura 2), un 
cripto-processore 1 comprende uno stadio disordinatore 
("scrambler") 2, che implement a la fase di diffusione, 
ed un elaboratore caotico 3, che implementa la fase di 
5 diffusione. Lo stadio disordinatore 2 riceve in ingresso 
un f informazione da cifrare I e fornisce all ' elaboratore 
caotico 3 un' informazione disordinata I D is; a sua volta 
1 ^elaboratore caotico 3 fornisce in uscita 
un' informazione cifrata I C r. 

10 L f elaboratore caotico 3 comprende un generatore 

caotico 5 fornente in uscita un segnale caotico X che 
viene mescolato all 1 informazione disordinata I Drs tramite 
un operatore invertibile. In particolare, il segnale 
caotico X viene fornito ad una porta di somma esclusiva 

15 o porta EXOR 6 ricevente anche 1' informazione disordina- 
ta I D is e generante in uscita 1' informazione cifrata I C r. 

Per la decifratura dell' informazione cifrata I C r e 
previsto un decripto-processore 10 (figura 3) compren- 
dente un elaboratore caotico 11 ricevente 1' informazione 

20 cifrata I C r ed un ordinatore 12 fornente in uscita 
1' informazione decifrata I D ec- L 1 elaboratore caotico 11, 
analogamente all 1 elaboratore caotico 3 di figura 2, com- 
prende un generatore caotico 13 del tutto uguale al ge- 
neratore caotico 5 (e quindi avente le medesime condi- 

25 zioni di inizializzazione e lo stesso parametro di bi- 
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forcazione, ed una porta di somma esclusiva o porta EXOR 
14, ricevente in ingresso 1' inf ormazione cifrata I C r e il 
segnale caotico X fornito dal generatore caotico 13. 
Grazie alle proprieta della somma esclusiva o EXOR, 
1' inf ormazione I D is- in uscita alia porta EXOR 14 e ugua- 
le all' inf ormazione disordinata I D is in uscita al disor- 
dinatore 2 di figura 2; l'ordinatore 12, avente una 
struttura simile a quella del disordinatore 2 ed utiliz- 
zando la stessa chiave (come descritto in seguito) for- 
nisce quindi una informazione decifrata I D ec corrispon- 
dente all ' inf ormazione originale I. 

II bus collegato fra il disordinatore 2 e 
1' elabcratore caotico 3 di figura 2 e il bus collegato 
fra I' elaboratore caotico 11 e l'ordinatore 2 in figura 
3 sono inaccessibili, per cui le informazioni presenti 
su tali bus non sono disponibili per un eventuale attac- 
co di pirateria. 

In pratica, il disordinatore 2 del cripto- 
processore 1, che genera la confusione, genera un testo 
cifrato il piu possibile disturbato, ma invertibile. 
L' elaboratore caotico 3, addetto alia "diffusione" sot- 
topone il testo disturbato ad una ulteriore fase di ci- 
fratura utilizzante un operatore invertibile e valori 
caotici, incrementando cosi il livello di sicurezza, 

Un esempio dell T architettura del cripto-processore 
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1 di figura 2 e mostrata in figura 4. In dettaglio, il 
cripto-processore 1 comprende un' interf accia di ingres- 
so/uscita 18; un'unita di comando 20; lo stadio disordi- 
natore 2, il generatore caotico 5 e un'area di iuemoria 
5 21. 

L f interf accia di ingresso/uscita 18 e collegata con 
l f esterno tramite un bus bidirezionale 19 a 64 bit e con 
l'.unita di comando 20 attraverso una coppia di bus mono- 
direzionali 21a a 16 bit e 21b a 64 bit, sui quali ven- 

10 gono fornite una parola di ingresso IN(t) e una parola 
cifrata Xcfu; l'unita di comando 2 0 e collegata con lo 
stadio disordinatore 2 attraverso una coppia di bus itio- 
nodirezionali 22a a 16 bit (a cui fornisce la parola di 
ingresso IN(t)) e 22b a 64 bit (da cui riceve una parola 

15 disordinata Si) e con il generatore caotico 5 attraverso 
una coppia di bus monodirezionali 23a, 23b a 64 bit su 
cui vengono forniti un valore caotico precedente X x _i e, 
rispettivamente, un valore caotico attuale X ± . L'area di 
memoria 21 comprende una plural it a di locazioni di raemo- 

20 ria 24, 25 e 26 in cui sono memorizzati, rispettivamen- 
te, un valore caotico iniziale X 0 fornito al generatore 
caotico 5, un parametro K fornito direttamente al gene- 
ratore caotico 5, e quattro coefficienti moltiplicativi 
C0-C3 forniti alio stadio disordinatore 2, Ogni coeffi- 

25 ciente moltiplicativo c 0 -c 3 e formato da 2 byte; insieme, 
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1 coefficient! moltiplicativi Co~c 3 formano la chiave 
dello stadio disordinatore 2. 

L'unita di comando 20 e costituita da una macchina 
a stati e coiuprende un regis tro 2 9 nel quale e memoriz- 
zato il valore caotico attuale X del segnale caotico; il 
registro 29 e quindi collegato con la locazione 24 per 
ricevere, all'inizio della operazioni, il valore inizia- 
le X 0 del segnale caotico X e con il generatore caotico 
5, per fornire il valore precedente Xi_i calcolato nel- 
I'iterazione (i-l)-esiiaa e ricevere il valore X x calco- 
lato nella i-esima iterazione, come in seguito descritto 
piu in dettaglio. L'unita di comando 20 inoltre invia 
segnali di comando all' interf accia 18, al disordinatore 

2 e al generatore caotico 5 attraverso un bus di con- 
trollo 27, in modo da sincronizzare le operazioni. 

II disordinatore 2, il generatore caotico 5, l'area 
di memoria 21, l'unita di controllo 20 e tutte le linee 
che li collegano, ad esclusione dell' interf accia 18, so- 
no realizzati in un'area protetta ('secret area") di una 
piastrina di silicio (definente una "smart card") che 
integra il cripto-processore 1- In particolare l'area 
protetta e coperta da uno strato di metallizzazione 28 
in modo che tutte le operazioni effettuate all'interno 
dell' area protetta siano celate all'esterno. 

II decripto-processore 10 di figura 3 presenta 

^09-08-2000^ 
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un' architettura analoga a quella del cripto-processore 
1, tranne per il fatto che il bus 16 e a 64 bit, per i 
motivi spiegati in seguito. 

Lo schema a blocchi del disordinatore 2 e 
5 dell' ordinatore 12 e mostrato in figura 5. In dettaglio, 
il disordinatore 2 comprende quattro sommatori 30a-30d; 
quattro elementi di ritardo 31a-31d; quattro moltiplica- 
tori 32a-32d; un blocco di trasf erimento 33 implementan- 
te una funzione di trasf erimento di tipo invertibile, ad 

10 esempio l'identita h(x)=x; e quattro linee di uscita 
34a-34d a 16 bit. 

In dettaglio, il sommatore 30a riceve la parola di 
ingresso IN(t) e 1' uscita del sommatore 30b; il blocco 
di trasf erimento 33 e collegato fra 1' uscita del somma- 

15 tore 30a e la linea di uscita 34a; gli element! di ri- 
tardo 31a-31d sono realizzati con registri a scorrimento 
a 16 bit e sono disposti in cascata uno all'altro e al 
blocco di trasf erimento 33; i moltiplicatori 32a-32c so- 
no collegati ciascuno fra 1' uscita di un rispettivo ele- 

20 mento di ritardo 31a-31c e un ingresso di un rispettivo 
sommatore 30b-30d mentre il moltiplicatore 32d e dispo- 
sto fra 1' uscita dell' elemento di ritardo 31d ed un se- 
cond© ingresso del sommatore 30d; e i sommatori 30b e 
30c hanno un secondo ingresso collegato con 1' uscita del 

25 sommatore 30c, rispettivamente 30d. 
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Tutte le linee del disorciinatore 2 mostrate sono a 
16 bit e le quattro linee di uscita 34a-34d insieme for- 
mano il bus monodirezionale 23b su cui viene fomito un 
blocco di 64 bit costituente una parola disordinata . 
5 Nel disordinatore 2 di figura 5, le operazioni di 

soma e di moltiplicazione sono definite all'interno di 
un campo di Galois (operatore somma con modulo) - Gli 
elementi di ritardo 31a-31b shiftano, ad ogni ciclo di 
clock, stringhe di caratteri disordinati s ( t ) -s-s ( t-3) di 

10 16 bit fornite inoltre alle linee di uscita 34a-34b. 
All'inizio dell' elaborazione di un documento o testo, 
ogni elemento di ritardo 31a-31d e inizializzato con due 
rispettivi byte c 0 -c 3 della chiave del cripto-processore 
1, forniti dall' area di mercioria 21 (figura 4) . In fase 

15 di inizializzazione, i moltiplicatori 32a-32d ricevono 
anch'essi due rispettivi byte c 0 -c 3 della chiave, che 
rappresentano i coefficienti moltiplicativi con cui ven- 
gono moltiplicate le stringhe di caratteri disordinati 
s (t-1) h-s (t-4) shiftate dagli elementi di ritardo 31a- 

20 31d. 

Ad ogni ciclo di elaborazione, i 64 bit di una pa- 
rola da cifrare I± vengono forniti, in 4 passi successi- 
vi da 16 bit, al disordinatore 2 (parola di ingresso 
IN(t)). In ciascun passo, ciascuna stringa di caratteri 
25 disordinati s ( t-1) -hs (t-4) (inizialmente costituita dai 2 
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byte della chiave memorizzati negli element! di ritardo 
31a-31d) viene moltiplicata per il relativo parametro c 3 
e del risultato a 32 bit vengono scartati i 16 bit piu 
signif icativi, realizzando in tal modo una somma con mo- 
5 dulo, ovvero una somma definita in un campo di Galois. 
Le parole cosi 7 ottenute vengono quindi sommate alia pa- 
rola di ingresso IN(t), ottenendo man mano un decremento 
sostanziale del livello di correlazione . 

Nei cicli successivi, inoltre, si ha un mescolamen- 

10 to fra le stringhe di caratteri disordinati s(t)-rs(t-3) 
del ciclo precedente con i blocchi di successive parole 
da cifrare, aumentando il livello di scorrelazione . 

II disordinatore 2 e, dunque, un sistema non linea- 
re dalle caratteristiche caotiche che genera in uscita 

15 un blocco di 64 bit (parola disordinata S^) , la cui di- 
stribuzione statistica risulta indipendente da quella 
del blocco di ingresso (parola da cifrare Ii, figura 4) ♦ 

L'ordinatore 12 di figura 3 ha la stessa struttura 
del disordinatore 2 mostrata in figura 5, tranne per il 

20 fatto che il sommatore 30a che riceve la parola di in- 
gresso IN(t) e sostituito da un sottrattore, che sottrae 
dalla parola di ingresso IN(t) la parola fornita 
dall' uscita del sommatore 30b, in modo da fornire in 
uscita {sulle linee di uscita 34a-34d) una parola deci- 

25 frata I DECi • 
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La figura 6 mostra 1' architettura preferita del di- 
sordinatore 2. In figura 6, nella quale sono stati uti- 
lizzati gli stessi numeri di riferimento della figura 5, 
i moltiplicatori 32a-32d moltiplicano le parole ritarda- 
5 te in uscita dagli elementi di ritardo 31a-31d con i co- 
efficient! moltiplicativi c 0 -c 3 memorizzati in registri 
35; inoltre sono evidenziati un segnale di comando SH 
cl^e determina lo scorrimento verso il basso del contenu- 
to dei registri T costituenti gli elementi di ritardo 

10 3 la- 3 Id e un segnale di comando OP che seleziona la fun- 
zione di somma o sottrazione del blocco 30a a seconda 
del funzionamento come disordinatore 2 o ordinatore 12. 

La figura 7 mostra lo schema a blocchi del genera- 
tore caotico 5* II generatore caotico 5 e costituito da 

15 una logica combinatoria comprendente un primo ed un se- 
condo moltiplicatore 37, 38 ed un sottrattore 39. In 
dettaglio, il primo moltiplicatore 37 presenta due in- 
gressi riceventi rispettivamente il parametro K dalla 
locazione di memoria 25 e il valore caotico precedente 

20 Xi-a dal registro 29 (figura 4) ed un'uscita (a 128 bit) 
collegata ad un ingresso del secondo moltiplicatore 38; 
il sottrattore 39 presenta un primo ingresso ricevente 
il valore caotico precedente Xi-i, un secondo ingresso 
ricevente un valore "1", normalizzato a 64 bit, ed 

25 un'uscita (a 128 bit) collegata al secondo ingresso del 
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seconcio moltiplicatore 38; I'uscita del secondo molti- 
plicatore 38, a 64 bit, fornisce, sulla linea 23b, il 
valore caotico attuale X,. di 64 bit. 

II generatore caotico 5 implementa la funzione 
5 f k (x) = Kx(l-x) , con 0<x<l e 3,6<K<4, dove K rappresenta 
il parametro di biforcazione del sistema caotico. Tale 
funzione (si veda fig. 8) garantisce che i valori caoti- 
ci X 3 definiscano una sequenza scorrelata, che viene 
quindi utilizzata per cifrare la parola disordinata S x 

10 fornita dal disordinatore 2. 

La figura 9 mostra uno schema di flusso delle ope- 
razioni svolte dal cripto-processore 1 e controllate 
dall T unita di controllo 20, che, come si e detto, e pre- 
f eribilraente realizzata come macchina a stati. 

15 All T inizio, l'unita di controllo 20 viene attivata 

al ricevimento di un segnale di reset che ne determina 
1 T inizializzazione (fase 50). Al ricevimento del segnale 
di reset, l'unita di controllo 20 carica dall'area di 
memoria 21 le chiavi del sistema negli appositi regi- 

20 stri: i parametri c-, vengono caricati nei registri co- 
stituenti i elementi di ritardo 31a-31d (figure 5 e 6) e 
nei registri 35 (figura 6), mentre il valore caotico 
iniziale X 0 viene caricato nei registro 29 dell'unita di 
controllo 20 (fase 51) . Un segnale di orologio, non mo- 

25 strato, scandisce gli eventi e sincronizza l'intero 
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cripto-processore 1 • 

Ad ogni impulso di clock, 1 T unita di controllo 2 0 
acquisisce, attraverso 1' interf accia I/O 18 una parola 
di ingresso IN (t) di 16 bit e la invia al disordinatore 
5 2, fase 53. II disordinatore 2 provvede quindi a sornmare 
la parola di ingresso IN(t) ai prodotti tra i coeffi- 
cient! c-j ed il contenuto degli elementi di ritardo 31a- 
31d, come spiegato in precedenza con rif erimento alia 
figura 4 (fase 54). Al ricevimento del segnale di con- 

10 trollo SH fornito dalla unita di controllo 20, il conte- 
nuto degli elementi di ritardo 31a-31d scorre inoltre 
verso il basso. Dopo quattro iterazioni (uscita SI dal 
blocco 55) , un blocco da 64 bit e' stato disordinato e 
viene fornito all 1 unita di comando 20 come parola disor- 

15 dinata Si, fase 56. 

Quindi, 1' unita di controllo 2 0 comanda il genera- 
tore caotico 5 perche calcoli un nuovo valore caotico 
attuale X ± . A tale scopo, essa fornisce il valore caoti- 
co precedente Xi_i al generatore caotico 5, fase 60; il 

20 generatore caotico 5 calcola il valore caotico attuale 
Xi, fase 61, e lo fornisce all 1 unita di controllo 20 che 
lo memorizza nel registro 29 al posto del valore prece- 
dente Xj.-!, fase 62. 

Quindi 1 T unita di controllo 20 calcola la parola 

25 cifrata X C r,i eseguendo l'xor fra la parola disordinata Si 
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e il valore caotico attuale X ±/ fase 63, e fornisce il 
risultato (parola cifrata X C r,i) all T interf accia I/O 18, 
fase 64. 

La sequenza di operazioni descritte, dalla fase 52 
5 fino alia fase 64, continua fino a quando dall'esterno 
vengono forniti blocchi di parole da cifrare I i# uscita 
NO dal blocco 65; quindi termina. 

II cripto-processore 1 descritto e stato sottoposto 
a simulazione alio scopo di studiare il grado di sicu- 
10 rezza del sistema dal punto di vista della ciclicita e 
dell'indice di coincidenza utilizzando un testo campione 
in lingua italiana, 

Applicando il presente metodo di crittografia come 
algoritmo crittograf ico ad un testo campione in lingua e 
15 stato calcolato l'indice di coincidenza su un alfabeto 
di 256 simboli (codice ASCII); 1 1 applicazione della for- 
mula di Friedman (k-test) al testo ha fornito un valore 
di I = 0,003873, appena superiore del minimo teorico 
(Imin = 0, 003607). Un test ancora piu' critico e' stato 
20 effettuato su un testo formato dalla ripetizione di un 
unico carattere. II risultato di tale test fornisce un 
indice pari a I = 0,003906, raentre il minimo teorico e' 
Imin = 0,003900. In figura 10a sono riportate le distri- 
buzioni percentuali di 256 simboli in un testo formato 
25 dalla ripetizione di un unico carattere e la figura 10b 
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mostra le distribuzioni percentuali dei simboli dopo la 
. cifratura con il metodo descritto. 

Un 1 ulteriore valutazione e' stata effettuata pren- 
dendo in considerazione un'immagine bitmap (figura 11a); 
5 in tale caso si e' ottenuto un indice I = 0,003907 a 
fronte di un Imin = 0,003890. Come osservabile in figura 
lib (relativo alia immagine di figura 11a dopo la cifra- 
tura) il contenuto inf ormativo e' completamente disper- 
so. 1/ immagine ottenuta dopo il processamento risulta 

10 infatti completamente scorrelata, come evidenziato nelle 
distribuzioni percentuali dei simboli in figura 12, in 
cui la curva A si riferisce all' immagine originale di 
figura 11a e la curva B si riferisce all * immagine cif ra- 
ta di figura lib. 

15 I vantaggi ottenibili con il metodo e il dispositi- 

vo descritti sono i seguenti. In primo luogo, come sopra 
discusso, il metodo e il dispositive forniscono testi 
cifrati ad elevata sicurezza. II fatto di utilizzare una 
chiave di tipo simmetrico (costituita dal parametro di 

20 biforcazione K e dal valore iniziale X 0 ) / memorizzata in 
un'area inaccessibile, elimina i problemi di sincroniz- 
zazione presenti nei sistemi a chiave pubblica. Cid con- 
sente quindi la crittografia di testi e documenti che 
possono anche essere inviati su rete pubblica (Internet) 

25 o forniti su supporto elettronico, dato che la chiave 
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pud essere fornita da un venditore solo al relativo 
cliente. II sistema di criterio comprende quindi un let- 
tore (come un DVD) ed un supporto (ad esempio una smart- 
card) e permette di proteggere il contenuto di documenti 
5 protetti da copyright, senza il rischio che utenti non 
abilitati (che non possiedono la chiave) possano accede- 
re al contenuto decifrato. 

Risulta infine chiaro che al metodo e al dispositi- 
vo qui descritti ed illustrati possono essere apportate 
10 numerose modifiche e varianti, tutte rientranti 
nell'ambito del concetto inventivo, come definito nelle 
rivendicazioni allegate . 
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RIVENDICAZIONI 

1. Metodo di protezione del contenuto di un docu- 
mented elettronico, caratterizzato dal fatto di compren- 
dere le fasi di : 

5 confondere caratteri appartenenti ad un documento 

elettronico di ingresso (I) attraverso un disordinatore 
invertibile (2) per ottenere un documento confuso (Idis); 
e . 

diffondere (3) detto documento confuso per mescola- 
10 mento con caratteri caotici (X) , per ottenere un docu- 
mento cifrato (Icr) . 

2. Metodo secondo la rivendicazicne 1, caratteriz- 
zato dal fatto che detta fase di confondere comprende 
eseguire operazioni definite all'interno di un campo di 

15 Galois. 

3. Metodo secondo la rivendicazione 1 o 2, in cui 
detto documento elettronico di ingresso (I) comprende 
una pluralita di stringhe di caratteri da cifrare (IN) e 
detto documento confuso (Idis) comprende una pluralita di 

20 stringhe di caratteri confusi (s) , caratterizzato dal 
fatto che detta fase di confondere comprende sommare 
ciascuna stringa di caratteri da cifrare (IN) con strin- 
ghe di caratteri di confusione ottenute moltiplicando 
dette stringhe di caratteri confusi (s) per rispettive 

25 costanti moltiplicative (Cj) • 
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4. Metodo secondo la rivendicazione 3, caratteriz- 
zato dal fatto che, prima di essere moltiplicate per 
dette costanti moltiplicative (c-,), dette stringhe di 
caratteri confusi (s) vengono ritardate. 
5 5. Metodo secondo una qualsiasi delle rivendicazio- 

ni precedenti, in cui detto document© confuso (I D is) com- 
prende una pluralita di stringhe di caratteri confusi 
(s) , caratterizzato dal fatto che detta fase di diffon- 
dere comprende generare caratteri caotici (X) tramite un 
10 generatore caotico (5) e mescolare dette stringhe di ca- 
ratteri confusi (s) con detti caratteri caotici (X) . 

6. Metodo secondo la rivendicazione 5, caratteriz- 
zato dal fatto che detta fase di mescolare comprende 
eseguire una operazione di or esclusivo (6) • 
15 7. Metodo secondo la rivendicazione 5 o 6, caratte- 

rizzato dal fatto che detto generatore caotico (5) im- 
plementa la funzione: 
f k {x) = Kx(l-x) . 

8. Metodo secondo una qualsiasi delle rivendicazio- 
20 ni precedenti, caratterizzato dal fatto di comprendere, 
in sequenza, le fasi di: 

a) caricare (51) chiavi di cifratura (c 3 ) in regi- 
stri di scorrimento (35) di detto disordinatore inverti- 
bile (2) e un valore caotico iniziale (X 0J in un registro 
25 di valore caotico (29) ; 
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b) acquisire (53) una stringa di caratteri di in- 
gresso (IN) ; 

c) calcolare (54) una stringa di caratteri diffusi 
(s(t)) utilizzando detta stringa di caratteri di ingres- 

5 so, dette chiavi di cifratura (Cj) e il contenuto di 
detti registri di scorrimento (35) ; 

d) alimentare detta stringa di caratteri diffusi 
(s(t)) a detti registri di scorrimento comandando una 
operazione di scorrimento di detti registri di scorri- 

10 mento; 

e) ripetere dette fasi b) , c) e d) un pref issato 
numero di volte per ottenere una pluralita di dette 
stringhe di caratteri confusi (Si) ; 

f) calcolare (61) un valore caotico successivo (X) 
15 utilizzando il contenuto di detto registro di valore 

caotico (29) ; 

g) sommare (63) detta pluralita di stringhe di ca- 
ratteri confusi (Si) con detto valore caotico successivo 
(X) per ottenere una parola cifrata (X C r) ; 

20 h) memorizzare (62) detto valore caotico successivo 

in detto registro di valore caotico (35); e 
i) ripetere dette fasi b) -h) . 

9. Metodo secondo la rivendicazione 8, caratteriz- 
zato dal fatto che detta fase c) utilizza la seguente 
25 relazione : 
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s(t) = IN(t)®J^c J ®s(t-j) 

in cui IN(t) e detta stringa di caratteri di in- 
gresso, Cj sono dette chiavi di cifratura, s(t-j) sono i 
contenuti di detti registri di scorrimento (35) e s (t) e 
5 detta stringa di caratteri diffusi. 

10. Metodo secondo la rivendicazione 8 o 9, carat- 
terizzato dal fatto che detta fase f) utilizza la se- 
guente relazione: 

f k (x) = Kx(l-x), 

10 in cui K e un parametro di biforcazione di un si- 

stema caotico. 

11. Metodo di sprotezione del contenuto di un docu- 
mento elettronico protetto tramite il metodo secondo una 
qualsiasi delle rivendicazioni precedenti, caratterizza- 

15 to dal fatto di decifrare detto documento cifrato trami- 
te me sco lament o (11) con detti caratteri caotici (X) e 
ordinamento tramite un ordinatore (12) opposto a detto 
disordinatore (2) . 

12 . Metodo di sprotezione del contenuto di un docu- 
20 mento elettronico protetto tramite il metodo secondo la 

rivendicazione 3, in cui detto documento cifrato (Icr) 
comprende una pluralita di stringhe di caratteri cifra- 
ti, caratterizzato dal fatto di decifrare detto documen- 
to cifrato tramite una prima (11) ed una seconda opera- 
25 zione di decifratura in cascata (12), detta seconda ope- 
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razione di decifratura (12) fornendo una pluralita di 
stringhe di caratteri decifrati, detta prima operazione 
(11) di decifratura cornprendendo una fase di mescolamen- 
to, in cui dette stringhe di caratteri cifrati vengono 
5 mescolate con detti caratteri caotici (X) per ottenere 
una pluralita di stringhe di caratteri predecifrati 
(IdisO/ e detta seconda operazione di decifratura com- 
pr.ende una fase di ordinaiaento tramite sottrazione (30a) 
di ciascuna stringa di caratteri precifrati con stringhe 

10 di caratteri di retroazione ottenute moltiplicando dette 
stringhe di caratteri decifrati per dette costanti mol- 
tiplicative (c 3 ) . 

13. Dispositivo di protezione del contenuto di un 
documento elettronico, caratterizzato dal fatto di com- 

15 prendere: 

un blocco di confusione (2) di un documento elet- 
tronico di ingresso (I), detto blocco di confusione corn- 
prendendo un disordinatore invertibile (2) fornente un 
documento confuso (I D is) ; e 

20 un blocco di diffusione (3) disposto in cascata a 

detto blocco di confusione, detto blocco di diffusione 
cornprendendo mezzi di mescolamento (6) di detto documen- 
to confuso con caratteri caotici (X) , fornenti un docu- 
mento cifrato (Idec) • 

25 14. Dispositivo secondo la rivendicazione 13, ca- 
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ratterizzato dal fatto che detto disordinatore (2) com- 
prende operatori agenti all'interno di un campo di Galo- 
is . 

15. Dispositivo secondo la rivendicazione 13 o 14, 
5 caratterizzato dal fatto che detto disordinatore (2) 

comprende un elemento sommatore (30a) avente un primo ed 
un secondo ingresso, detto primo ingresso ricevendo una 
stringa di caratteri da cifrare (IN) appartenenti a det- 
to documento elettronico di ingresso (I) ; una pluralita 

10 di registri di scorrimento (31a-31d) disposti in cascata 
fra loro e a detto elemento sommatore; una pluralita di 
elementi moltiplicatori (32a-32d) , ciascuno avente un 
ingresso collegato ad un T uscita di un rispettivo regi- 
stro di scorrimento (31a-31d) ed una propria uscita; una 

15 pluralita di nodi sommatori (30b-30d) collegati in ca- 
scata, ciascun nodo sommatore avendo un ingresso colle- 
gato a detta uscita di un rispettivo elemento moltipli- 
catore (32a-32c) , un nodo sommatore (30d) posto a monte 
avendo un secondo ingresso collegato ad un ultimo di 

20 detti. elementi moltiplicatori (31d) ed un nodo sommatore 
(30b) posto a valle avendo un T uscita collegata a detto 
secondo ingresso di detto elemento sommatore (30a) . 

16. Dispositivo secondo una qualsiasi delle riven- 
dicazioni 13-15, caratterizzato dal fatto che detti mez- 

25 zi di mescolamento (6) comprendono un operatore di somma 
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logica esclusiva e dal fatto che detto blocco di diffu- 
sione comprende un generatore caotico (5) . 

17. Dispositivo secondo la rivendicazione 16, ca- 
ratterizzato dal fatto che detto generatore caotico (5) 

5 implementa la seguente funzione: 
f k (x) = Kx(l-x), 

in cui K e un parametro di biforcazione di un si- 
stema caotico, 

18. Dispositivo secondo una qualsiasi delle riven- 
10 dicazioni 13-15, caratterizzato dal fatto di comprende- 

re, integrati in una prima piastrina, un'unita logica di 
comando (20), un'unita disordinatrice (2) collegata a 
detta unita logica di comando, un generatore caotico (5) 
collegato a detta unita logica di comando, un'area di 
15 memoria segreta (21), memorizzante chiavi di cifratura 
(Cj) per detta unita disordinatrice (2) ed un valore 
caotico iniziale (X 0 ) per detto generatore caotico (5) . 

19. Dispositivo di sprotezione (10) del contenuto 
di un documento elettronico cifrato fornito da un dispo- 

20 sitivo di protezione (1) secondo una qualsiasi delle ri- 
vendicazioni 13-18, caratterizzato dal fatto di compren- 
dere, integrati in una seconda piastrina, un'unita logi- 
ca di comando (20), un'unita ordinatrice (12) collegata 
a detta unita logica di comando, un generatore caotico 

25 (13) collegato a detta unita logica di comando, un'area 




di memoria segreta (21), memorizzante chiavi di cifratu- 
ra (Cj) per detta unita ordinatrice (12) ed un valore 
caotico iniziale (X 0 ) per detto generatore caotico. 

20. Dispositivo secondo le rivendicazioni 18 e 19, 
5 caratterizzato dal fatto che dette prima e seconda pia- 
strina comprendono ciascuna una metallizzazione di co- 
pertura (28) coprente una rispettiva unita logica di co- 
mando (20) , una rispettiva unita disordinatri- 
ce/ordinatrice (2, 12), un rispettivo generatore caotico 
10 (5, 13) e una rispettiva area di memoria segreta (21) . 
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RIASSUNTO 

Per proteggere il contenuto di un documento elettronico 
tramite un sistema di crittografia basato su una fase 
5 iniziale di confusione in un disordinatore ed una fase 
successiva di diffusione in un elaboratore caotico, en- 
trambe di tipo caotico, inizialmente vengono acquisite 
(51) chiavi di cifratura (Cj) ed un valore caotico ini- 
ziale (X 0 ) ; vengono acquisite (53) stringhe di caratteri 

10 di ingresso (IN); vengono calcolate (54) stringhe di ca- 
ratteri diffusi (s(t)) utilizzando le stringe di carat- 
teri di ingresso, le chiavi di cifratura (Cj) e prece- 
denti stringhe di caratteri diffusi (s(t-j)). Dopo un 
certo numero di iterazioni, gruppi di stringhe di carat- 

15 teri diffusi (Si) vengono sommate (63) a valori caotici 
successivi (X) generati da un elaboratore caotico (61) 
per ottenere parole cifrate (X C r) . La decifratura avviene 
attraverso due operazioni successive, in cui le parole 
cifrate vengono sommate a valori caotici identici a 

20 quelli di cifratura (X) e sottratte a parole decifrate 
in precedenza utilizzando un elemento ordinatore avente 
struttura simile a quella del disordinatore e utilizzan- 
te identiche chiavi di cifratura. 
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